Polizei Bielefeld fasst Urheber zahlreicher DDoS-Attacken in Deutschland

Auf seinem mittlerweile gelöschten Twitter-Konto bezeichnete sich ein 24-jähriger Fachinformatiker aus Voerde am Niederrhein als “mentally disturbed gray hat” sowie als ehemaliger IT-Security-Consultant. Seine Opfer, darunter den Münchner Netzbetreiber M-Net sowie die E-Commerce-Unternehmen Rakuten.de, Hood.de und Redcoon.de, offenbar auch Shopware und Profihost sowie den Glasschmuckhersteller Swarovski, bezeichnete er als “Kunden”. Seine Aktivitäten sah er wohl mehr oder weniger als ungefragte Beratungsdienstleistung, die erforderlich sei, weil es “da draußen so viele unsichere Server” gebe.

Jetzt haben das Fachkommissariat für Computerkriminalität der Kriminalpolizei Bielefeld und die Schwerpunktabteilung für Wirtschaftskriminalität der Staatsanwaltschaft Bielefeld seine Identität herausgefunden und ihn wohl bei der Arbeit vom Schreibtisch weg verhaftet. Wie die Behörden mitgeteilt haben, legte er über ein Botnetz “die Online-Präsenzen namhafter deutscher Firmen lahm. Er verlangte, damit die Angriffe gestoppt würden, eine Lösegeldzahlung in Bitcoins, einer anonymen Onlinewährung.“ Die Festnahme sei bereits am 23. Mai erfolgt. Das Twitter-Konto des 24-Jährigen ist inzwischen deaktiviert worden.

Seinen Aktivitäten haben zuvor diverse Experten nachgespürt, unter anderem des auf Anti-DDoS-Lösungen spezialisierten Unternehmens Link11. Ihnen zufolge hat ZZB00t unter anderem Rakuten.de, billiger.de, Hood.de und Redcoon.de und “große Logistikunternehmen” (vermutlich DHL) erfolgreich angegriffen.

Mit seinen Aktivitäten begann ZZB00t demnach am 22. April. Den Experten von Link11 waren am 17. Mai noch keine Schutzgeldforderungen bekannt, wie sie die Behörden ZZB00t jetzt vorwerfen. Möglicherweise wurden die aber nicht öffentlich gestellt, sondern direkt an die Betroffenen gerichtet. Auf Twitter bezeichnete sich der Hacker wiederholt als Schwachstellenjäger und nannte als Motivation, dass es einfach zu viele unsichere Server geben.

Seine Angriffe kündigte er oft mit mehreren Stunden Vorlauf an, erfolgreich waren sie trotzdem: Oft waren die Angebote der Angegriffenen – teilweise trotz diverser DDoS-Schutz-Dienste – mehrere Stunden lang offline. Laut Link11 setzte ZZb00T “auf Volumen-, Protokoll- und Applikationsattacken, die wenige Minuten bis hin zu mehreren Stunden und Tagen andauern. Die Schlagkraft der Angriffe ist mit bis zu 20 Gbps nicht außergewöhnlich hoch. Sie reicht aber aus, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.”

Besonderheit der Attacken von ZZb00T sei es, dass sie sich nicht gegen den Domainnamen, sondern die originale IP-Adresse richten. “ZZb00t nutzt gezielt die Schwachstelle vieler IT-Infrastrukturen aus, die den DDoS-Schutz ihrer originalen IP-Adressen vernachlässigen und nicht über ein Site Shield vom direkten Zugriff abschirmen”, so das Fazit der deutschen Anti-DDoS-Experten. Eigenen Angaben zufolge hat ZZb00T zwar alleine gearbeitet, der Kommunikation bei Twitter zufolge stand er aber möglicherweise doch in einem Vertrauensverhältnis zu anderen Personen. Dazu gibt es aber bislang lediglich Vermutungen, die Behörden haben dazu noch keine Auskunft gegeben.